I truffatori hanno rubato la pagina VKontakte dell'imprenditore Alexey Mironov a causa di una vulnerabilità nel sistema di identificazione dei clienti MTS. Il social network non l'ha mai restituito al suo proprietario e gli chiede l'impossibile. Ora sta facendo causa a VKontakte per questo. È rappresentato dal Centro per i diritti digitali.
Alexey Mironov è il fondatore della catena Jeffrey's Coffee. Questo è un franchising di caffetterie a Mosca e nelle regioni. Alexey comunicava spesso con colleghi e partner su VKontakte e lì gestiva una pagina pubblica molto popolare per la sua rete, che contava più di 50 abbonati.
Nel novembre 2018, la mattina presto, mentre Alexey era in viaggio d'affari in Cina, la sua pagina VKontakte è stata violata. Ha ricevuto SMS da VKontakte, WhatsApp e un messaggio dall'operatore MTS, in cui si informava che era stato impostato l'inoltro a un altro numero. Alexey non ha impostato l'inoltro, quindi si è subito preoccupato e ha chiamato MTS. Non hanno nemmeno stabilito immediatamente che ci fosse effettivamente un reindirizzamento. L’operatore è riuscito a spegnerlo solo due ore dopo la chiamata di Alexey. MTS non ha mai trovato dati su come e quando è stato attivato l'inoltro.
Alexey ha controllato l'accesso ai social network e alla messaggistica istantanea e ha visto che non poteva più accedervi utilizzando il suo numero di telefono. Gli hacker hanno collegato un altro numero ai suoi account. Con WhatsApp il problema è stato risolto velocemente. Subito dopo aver annullato l'inoltro, il corriere ha ripristinato l'accesso al conto al legittimo proprietario.
Alexey ha scritto al supporto di VKontakte chiedendo di restituire la pagina e ha inviato una foto del suo passaporto. In serata ha ricevuto un SMS che informava che la richiesta era stata respinta, poiché l'attuale proprietario gli aveva confermato il diritto di accesso.
Uno specialista del supporto tecnico ha affermato che Alexey potrebbe trasferire volontariamente l'accesso alla sua pagina a terzi, quindi non ripristineranno il suo accesso. Alexey ha spiegato la situazione dell'hacking, ma gli è stato chiesto di inviare una lettera di conferma da MTS, in cui l'operatore avrebbe confermato che si era verificato un hacking. Alexey ha fornito una lettera di MTS. Successivamente, l'amministrazione VKontakte ha chiesto che questa lettera fosse autenticata dalla polizia. Questo requisito è molto difficile da soddisfare perché non è compito della polizia certificare le lettere e le credenziali del firmatario. Alexey è riuscito a bloccare la pagina compromessa solo chiedendo personalmente ai dipendenti di VKontakte se ne fosse a conoscenza. La pagina non è stata ancora restituita. L'unica cosa che Alexey ha ottenuto è stato bloccare il suo account. Ora né i truffatori né lui stesso possono usarlo.
Il servizio di supporto VKontakte è una storia diversa. Solo gli utenti autorizzati possono contattare il servizio di supporto VKontakte. Ciò significa che se perdi l'accesso alla tua pagina, dovrai crearne una nuova o chiedere ai tuoi amici di concedere l'accesso alle loro pagine per poter scrivere in supporto. Alexey corrispondeva con gli specialisti del servizio di supporto dalla pagina di sua moglie, e questo non li ha disturbati, sebbene il Contratto con l'utente non consenta di trasferire login e password a qualcun altro.
L’hacking della pagina e l’ulteriore perdita di accesso all’account e alla pagina pubblica hanno ovviamente danneggiato sia la reputazione commerciale di Alexey che i suoi interessi patrimoniali. Senza contare che ciò ha consentito la fuga verso destinazioni sconosciute di una notevole quantità di informazioni personali e commerciali. I truffatori del conto dell'uomo d'affari hanno chiesto ai suoi amici di trasferire loro ingenti somme di denaro. Una persona ha trasferito loro 34mila rubli. Gli aggressori hanno avuto accesso alle informazioni personali dell’account di Alexey per XNUMX ore.
Causa contro VKontakte
Alexey Mironov ha intentato una causa contro il social network VKontakte presso il tribunale distrettuale Smolninsky di San Pietroburgo ed è ora in attesa dell'assegnazione del caso. Chiede al tribunale di obbligare il social network ad adempiere al proprio accordo, concluso sotto forma di Accordo con l'utente, e di restituirgli l'accesso alla sua pagina. Fino ad oggi, l'amministrazione VKontakte continua a privare irragionevolmente Alexey dell'accesso al suo account, mentre ha rispettato coscienziosamente i termini del Contratto con l'utente e ha immediatamente informato dell'hacking il servizio di supporto tecnico del social network. VKontakte ha rifiutato di ripristinare il suo accesso alla pagina, citando una clausola nelle Condizioni d'uso che vieta agli utenti di trasferire il login e la password della pagina a terzi. L'agente dell'assistenza VKontakte con cui ha parlato Alexey ha affermato che è possibile impostare l'inoltro del numero di telefono solo visitando l'ufficio dell'operatore e presentando il passaporto. In realtà, non è così, e Roskomnadzor lo ha confermato in risposta all'appello di Alexey.
Il social network, in violazione delle Condizioni d'uso, ha limitato irragionevolmente l'accesso di Alexey all'utilizzo della sua pagina. Si tratta di un rifiuto unilaterale di adempiere agli obblighi, in violazione del comma 1 dell'art. 30 Codice Civile della Federazione Russa. Privandolo dell'accesso al suo account, VK ha privato Alexey anche del diritto di amministrare la sua pagina pubblica, che per lui rappresenta un importante bene immateriale. (Abbiamo scritto del mercato pubblico come nuova forma di proprietà digitale e delle peculiarità di concludere transazioni con esso )
Buche di sicurezza nel sistema di identificazione MTS
Dalla corrispondenza condotta dai truffatori per conto dell'imprenditore risulta che questi erano a conoscenza del suo lavoro e del suo viaggio d'affari. Hanno chiamato il contact center MTS, sono riusciti a identificarsi per conto di Alexey e hanno impostato l'inoltro di chiamata. Gli aggressori potrebbero ottenere i dati del suo passaporto attraverso l'ingegneria sociale. Alexey Mironov è il fondatore del franchising, quindi molte persone coinvolte nell'apertura di stabilimenti in franchising potrebbero avere le informazioni sul suo passaporto. MTS ha condotto un'indagine interna, ma non è riuscita a determinare chi ha installato esattamente l'inoltro e come l'aggressore ha intercettato gli SMS. La società non ha ammesso la colpa, ma allo stesso tempo ha offerto ad Alexey un risarcimento molto strano: 750 rubli.
Abbiamo ritenuto che identificare un abbonato a distanza utilizzando solo dati personali corretti sia una pratica molto dubbia e abbiamo scritto un reclamo a Roskomnadzor per verificare la conformità di questo tipo di processo aziendale con i requisiti della legislazione sui dati personali. Di conseguenza, Roskomnadzor si è schierato con MTS, sottolineando che gestire i servizi di comunicazione dopo l'identificazione remota tramite telefono fornendo allo stesso tempo dati personali corretti è del tutto normale, e stabilire ulteriori metodi di protezione contro questo tipo di azioni non autorizzate è un grattacapo per l'abbonato stesso, non l'azienda. (leggi la risposta completa - )
L'hacking dell'account di Alexey Mironov non è il primo caso di accesso non autorizzato ai dati degli abbonati MTS. Nel 2018 il database di 500mila iscritti a Novosibirsk due aggressori, uno dei quali era un dipendente dell'azienda. Hanno provato a vendere il database al prezzo di 1 rublo per i dati di un abbonato.
Nel 2016 c'erano Resoconti su Telegram degli attivisti dell'opposizione Georgy Alburov e Oleg Kozlovsky. I loro account erano collegati a numeri MTS e, poco prima dell'hacking, il loro servizio SMS era disabilitato ed era abilitato l'inoltro. Non sono state accertate nemmeno le circostanze dell'irruzione. Nel 2019, Oleg Kozlovsky ha intentato una causa contro MTS, ma il tribunale l'ha respinta.
La protezione degli account di vari servizi web e applicazioni dall'hacking è responsabilità dell'utente stesso. Questa posizione è condivisa sia dagli operatori di telecomunicazioni che dallo stesso regolatore, secondo il quale si rifiutano di condividere questi rischi con i propri abbonati.
RKN lo descrive in questo modo nella sua risposta:
"... Secondo la clausola 2.11 delle Condizioni MTS, a fini di identificazione, agli abbonati dell'operatore di telecomunicazioni viene data la possibilità di utilizzare una parola in codice - una sequenza di simboli (lettere, numeri) specificati dall'abbonato nella forma stabilita da l'Operatore, che serve per identificare l'Abbonato al momento della conclusione del Contratto. L'abbonato ha la possibilità di impostare una parola in codice sia al momento della conclusione del contratto (in questo caso viene inserita nel modulo di contratto insieme ai dettagli obbligatori) sia in qualsiasi momento durante l'esecuzione del contratto. Nonostante ciò, l'abbonato Mironov A.K. la parola in codice non è stata impostata prima della contestata connessione del servizio. In tali circostanze, solo l’abbonato, stabilendo una parola in codice durante l’identificazione con l’operatore di telecomunicazioni, poteva neutralizzare il rischio di conseguenze negative derivanti da tali situazioni, ma non ha approfittato di questa opportunità.”
Recupero dell'account. Missione impossibile
Una denuncia per l'inerzia di Roskomnadzor è già stata presentata alla procura. Nel frattempo la polizia continua a tacere sulla denuncia del delitto. Anche all'interno dell'azienda nessuno riporta nulla sui risultati dell'indagine. MTS non ammette alcuna colpa. A nessuno importa. Allo stesso tempo, VKontakte continua a rifiutare al proprietario dell'account di ripristinare l'accesso fino a quando non avrà portato dalla polizia una decisione sull'avvio di un procedimento penale che stabilisca i fatti specificati e una lettera di MTS che confermerà che il servizio di reindirizzamento è contestabile. Nella lettera con spiegazioni abbastanza estese, è anche richiesto che Mironov fornisca anche un certificato di MTS attestante che è l'unico (e cosa, da qualche parte gli operatori registrano la comproprietà dei numeri di telefono?) utente del numero di telefono a cui era collegato la pagina. La risposta è arrivata alla fine della scorsa settimana e, data la situazione di stallo e l'impossibilità di raggiungere un accordo con VKontakte ormai da sei mesi, ci siamo rivolti al tribunale.
Come proteggersi dall'hacking
Gli aggressori possono anche accedere alla gestione di un numero di telefono attraverso altre vulnerabilità: il protocollo SS7 o ottenendo una carta SIM duplicata con l'aiuto di dipendenti dell'operatore senza scrupoli.
SS7 è un protocollo tecnico utilizzato dagli operatori di telecomunicazioni. Contiene un vecchio e apparentemente inamovibile , che consente di intercettare i dati trasmessi dagli abbonati durante una chiamata o tramite SMS. Solo gli operatori hanno accesso a SS7, ma gli aggressori possono ottenerlo acquistando l'accesso sulla darknet da operatori di paesi sottosviluppati o tramite dipendenti senza scrupoli di operatori di telefonia mobile. Un attacco si verifica quando un utente malintenzionato modifica l'indirizzo del sistema di fatturazione dell'abbonato con il proprio indirizzo. Molto spesso, gli aggressori informano il sistema che l'abbonato è in roaming internazionale, quindi il modo più semplice per proteggersi è disabilitare il roaming internazionale se non lo si utilizza.
Alexey Mironov non aveva ancora configurato un sistema di autenticazione a due fattori per Vkontakte. Questa funzione a VK nel giugno 2014. Forse potrebbe proteggere il suo account dall'hacking. Vale la pena ricordare che collegare semplicemente un account a un numero di telefono non è un'autenticazione a due fattori. — questa è la protezione dell'accesso a un account quando, oltre alla password, viene eseguita un'altra azione. L'opzione più comune è un codice SMS. Questo metodo non è il più affidabile poiché gli aggressori possono intercettare il messaggio SMS. Opzioni più sicure sono un file chiave, codici temporanei, un'applicazione mobile e un token hardware.
Sfortunatamente, siamo costretti a vivere in un’era in cui garantire la sicurezza dei dati diventa un nostro problema. Si spera che gli operatori si assumano autonomamente la responsabilità in caso di hacking, ma a quanto pare non è così. Oltre a fare affidamento su Roskomnadzor, che da tempo si è allontanato dalla realtà nelle sue pratiche di protezione dei dati. È incredibilmente difficile sfondare la corazza del “materiale di rifiuto” dell'ufficiale di polizia locale che riceverà la tua domanda in un caso simile, soprattutto per una persona comune che non sa come funziona questo sistema. Cosa rimane? Non dimenticare l’igiene digitale, fidati della matematica e difendi i tuoi diritti in tribunale.
Fonte: habr.com